#орв #regulation Завтра явно будет ещё пачка. Например, требования к функционированию систем управления сетями связи. Кнопку #donate конечно надо было ставить здесь

#реклама Напомню, что это необычная реклама. Я по своему самодурству размещаю рекламные посты каких-то компаний или сообществ, или сервисов. Они мне за это не платят. Ни цента, ничего. Я пессимистично отношусь к будущему российских информационных технологий. Ад дышит нам в спину. Рассказы о чем-то хорошем являются аутотренингом для меня, соломинкой, за которую я цепляюсь.

Хочу познакомить Вас с Питерскими ребятами, которые занимаются сопровождением телекома (проектирование), имеют занятную судебную практику с Роскомнадзором, много другой судебной практики, да и вообще открытые ребята, готовые рассказывать о реальных случаях. Они регулярно помогают мне:
https://t.me/stisolution

Сейчас будет сложный текст про SSL, HTTPS и вот это всё. И про Казахстан.

☝️ Как работает HTTPS. Есть понятия ключей шифрования (публичный и секретный ключ) и сертификата SSL (сертификат x509). В шифровании всегда участвует именно ключ (точнее пара — публичный/приватный). Сертификат только описывает ключ, содержит дополнительные данные и реализует иерархическую связку. Я дальше буду всегда иметь пару ключ/сертификат или их по отдельности, называя это одним словом «сертификат». Сертификат имеет пару важных полей: собственное название (subject) и кто «выпустил» (issuer). За счет этой пары полей возможно построить дерево сертификатов, корнем которого будет сертификат, выпустивший сам себя, т. е. поля subject и issuer будут равны. Сертификат имеет признак, может он подписывать другие сертификаты или нет. Соответственно конечным сайтам выдаются сертификаты, которые являются конечными и не могут подписывать дальше.

☝️ Когда браузер устанавливает защищенное соединение с сайтом, тот выдаёт в ответ сертификат, в котором в том числе содержится доменное имя, для которого выдан этот сертификат., и всю цепочку сертификатов до корневого (так называемый bundle). В браузер вшит список корневых сертификатов, которым он доверяет. Поэтому браузер может сказать — честный конечный сертификат сайта, или нет. Если кто-то подставил сертификат, цепочка подписи которого не может быть проверена браузером — браузер выдаёт предупреждение или вообще не загружает контент. Производители браузеров между собой договорились и достаточно давно диктуют всем в мире примерно единообразный список корневых сертификатов. Организации, выпускающие сертификаты, попавшие в такой список, подчиняются установленным правилам, процедурам и проверкам. Вот на такой доверительной основе строится вся защита. Да, возможно у спецслужб разных стран тайно есть сертификаты, подписывающие какие-то домены и они могут заниматься прослушкой и делать «обманные сайтами». Поэтому часто говорят о важности дополнительной защиты и поверки через DNSSEC, например.

⚠️ В Казахстане с 2017 года существует закон, обязывающий устанавливать в браузер, отсутствующий в стандартном списке, государственный сертификат. Первая попытка внедрить его как-то очень быстро «стухла» и дальше деклараций не ушла.

‼️ В середине июля 2019 года внезапно в столице Казахстана провайдеры начали массово принуждать пользователей устанавливать государственный сертификат, пропуская трафик через фильтр. На второй день примерно 70 тыс человек установило сертификат. Сколько установило за 2 недели — не известно. Было очень много «нареканий» от госкомпаний, и их дочерних компаний.

⚔️ ЦАРКА (Центр анализа и расследований кибератак — организация, которая оказывает услуги по инфобезу госструктурам), провели переговоры с госорганами (открыто в закрытом режиме) и договорились, что таки сертификат «казах-по-середине», это как-то вот совсем перебор: https://t.me/zatelecom/10985

👎 06 августа 2019 Касым-Жомарт Токаев (главный в Казахстане) заявил что:
«КНБ по моему поручению провел тестирование сертификата безопасности в рамках программы Киберщит. Доказана защищенность информационного пространства РК и возможность использования сертификата только в случаях вторжения извне. Неудобств пользователям интернета нет. Благодарю КНБ»
https://twitter.com/TokayevKZ/status/1158783591444373505

✅ Попытка №2. НЕ ПРОКАТИЛО

С запозданием публикую свой доклад на КРОС-2019
https://youtu.be/RhLVa1X3yA8

Презентация: https://usher2.club/docs/cros-2019.pdf

Как испортить благую идею криками "Волки! Волки!"? А вот как это делает МЧС. Если возможность 25м/с шквалов — это повод прерывать вещание, у меня плохие новости для всех служб Москвы. В Питере МЧС «спамит» (рекламные сообщения) например абонентам Мегафона. "Всё пропало! Ураган! Шторм! Мы все умрем!". Я уже год не обращаю на это внимания, потому что они крайне редко угадывают (например, сегодняшний ливень не предупредили), у них ураган от 15м/с (которые только возможны) и толку с этих сообщениях ровно 0. Даже вред, потому что пару раз они присылали их ночью. И это с учетом того, что я езжу на работу на велосипеде и вообще мне это важно.
https://t.me/rbc_news/5811

Решительно не знаю, что с этим делать. Начать наверное надо с прекращения слепого следования уже ставшему похоже религиозным «как бы чего не вышло».

Хочу немного поговорить о так называемом «государственном шатдауне интернета». Кто-то ничего не знает о таком понятии, кому-то будет скучно. Что это? Это когда государство своей властью отключает внутри себя интернет. На всей территории или только в каком-то регионе, районе. Весь, или частично. Так делали Египет, Ливия, Судан, Сирия: https://tjournal.ru/news/52404-world-blocks-internet . Индия приняла такой закон и использует его регулярно: https://habr.com/ru/company/vasexperts/blog/337584/ (кстати, это статья VASExperts — одного из производителей оборудования СОРМ и фильтров интернета). После терракта в Шри-Ланке тоже отключали интернет: https://lenta.ru/news/2019/04/21/socialsrilanka/ . Отключали интернет и в России во время протестов в Ингушетии: https://www.kommersant.ru/doc/3799649

Отключение интернета государственной властью является популярной темой на международном форуме по управлению интернетом: https://www.intgovforum.org/multilingual/ . На региональном Азиатско-Тихоокеанском форуме по управлению интернетом, AprIGF https://www.aprigf.asia/, прошедшем во Владивостоке, я бы сказал, что это была самая популярная тема. Она сквозила во всём.

Вопрос сильно дискуссионный. Основные проблемы — непредсказуемость и массовость. Т.е. под отключение попадут как целевая аудитория отключения, так и простые граждане и даже, возможно, критические объекты — управление транспортом, медицина и так далее. Надо отметить, что в России «государственный шатдаун» должен был налететь на «шлагбаум» закона о критической информационной инфраструктуре. Но все же всё понимают. Для большинства практикующих «шатдаун» стран характерна безответственность за принятые решения (в России ярким примером может послужить ответственность Роскомнадзора за «ковровые блокировки»), даже в случае законодательной закреплении нормы и рамок использования. В случае России на данный момент такие отключения противозаконны. Интерпретация закона «о связи» российскими ведомствами мягко говоря чрезмерно расширительная.

3 августа 2019 во время акций протеста в Москве в местах прохождения этих акций плохо работал интернет или не работал вообще. Люди свидетельствуют об отсутствии интернета на базовых станциях сотовых операторов и на то, что в некоторых кафе силовики просили отключить WiFi. Возникло подозрение в том, что власти «отключили» интернет на время протестных акций. Доказать это без прямого ответа органов власти (которые, как можно даже из информации моего канала сделать вывод — соврут и не покраснеют) сложно. И если ингушский силовики по простодушию своему честно ответили «да это мы», то с московскими всё оказалось сложнее. Возможен только «слив» информации от провайдеров, но это уголовная ответственность. Канал #ЗаТелеком показывал скриншоты системы управления одним из сотовых операторов, присланные читателем https://t.me/zatelecom/10944 . Там значатся аварийные отключения базовых станций. Проверить подлинность мы, конечно, не можем. BBC утверждает, что у них есть копия требования силовиков:
https://www.bbc.com/russian/features-49255791

Государство всё больше закрывает информацию о своей деятельности. Мы можем только гадать о тех или иных действия, судить о них по симптомам. Скоро и блокировки попадут в эту область, потому что по закону «об устойчивом Рунете» с провайдеров снимается обязанность блокировать сайты в пользу неких устройств Роскомнадзора, «выгрузки» будет взять негде. Останутся только гипотезы «наверное это блокировка».

Не знаю какие выводы сделать... Если у вас есть информация на тему российского «государственного шатдауна» или она, например, появится — вы всегда можете передать её мне.

Темы сыпятся одна за другой прямо. Вот буквально в вечеру я писал про полуфейковое предупреждение МЧС https://t.me/usher2/1177

👉 На днях под Северодвинском (для справки — это где-то в районе Архангельска, там огромная база подводных лодок и завод) в военной части произошёл взрыв при испытаниях ракеты:
https://tass.ru/proisshestviya/6745146
Вчера СМИ сообщили о панике в Северодвинске и Архангельске на фоне сообщений о повышенном радиационном фоне и закрытия части акватории Белого моря. Люди скупают йод:
https://www.fontanka.ru/2019/08/08/142/

❌ Попробуйте найти официальное сообщение о взрыве. Я не смог.
❌ Попробуйте найти официальное разъяснение по ситуации. Я не смог. Есть только "Маша сказала, что Дима ей сказал, что Паша ему сказал, что начальник гражданской обороны Архангельской области ему сказал, что всё нормально".

☝️ А вот возможно фейковые новости (или нет?) о радиации и непростом взрыве на фоне информационной импотенции ответственных лиц распространяются и люди сейчас йоду наедятся. Если там радиационное ЧП, то йод надо конечно уже употреблять, но прочитав инструкции хотя бы в злом и плохом интернете. Если просто бездумно нахлебаться его из флакона, вы действительно не умрёте от радиационного облучения. Потому что покините этот мир гораздо раньше.

😎 А потом эти люди будут ныть на пресс-конференциях, интервью и форумах про проблему фейковых новостей, отвлекая нормальных людей от работы. Я хочу чтобы каждый, кто хочет заикнуться о существовании проблемы фейковых новостей не в разрезе вины государства в сфере информационной открытости, смотрел мне в глаза. Ну или представлял, что смотрит мне в глаза.

Кстати, тут читатели подсказывают, что для понятности глубины проблемы «государственного шатдауна» https://t.me/usher2/1178 неспециалистам в отрасли, просто замените в посте слово «интернет» на «электричество».

Т.е. всё-таки под Северодвинском инцидент имеет в том числе и ядерную природу:
https://ria.ru/20190810/1557365082.html

Поздравляю. В ближайшие пару лет вам (официальным заявлениям властей) верить не будут. Будут верить как раз фейкам и 44 капли йода в день (читатели мои, не вздумайте). Потому что официальные заявления или отсутствуют, или скрывают что-то. Вы своими руками (точнее языками) создаёте индустрию фейковых новостей. И потом героически боретесь с проблемой, которая существует только из-за вас самих.

«Обращаясь к Министерству обороны, Ватфор хотел бы немного перефразировать один из скетчей "Большой разницы":
"Штирлиц, дайте мне какую нибудь версию, в которую не стыдно поверить, а не историю про крокодила, которого вы задушили голыми руками, а какой-то поц взял и сделал из него чемодан русской радистки, не стерев ваши отпечатки пальцев"»
https://t.me/vatfor/4672

#regulation #орв ⚡️ Проект Постановления Правительства «об утверждении порядка централизованного управления сетью» (фундаментальный документ всего пакета по «устойчивому Рунету») получил ОТРИЦАТЕЛЬНОЕ Заключение по итогам процедуры оценки регулирующего воздействия:
https://regulation.gov.ru/p/91558

☝️ Проект норматива получил увесистое Заключение, состоящее из перечислений нестыковок внутри норматива, несогласованности с законодательством. Процедурные нарушения практически не затронуты. Заключение в нескольких предложениях сформулированно так, как-будто бы не сомневается, что норматив будет переписан. Министерством экономического развития даны в том числе конкретные рекомендации по доработке. Отдельно Министерством экономического развития отмечена неудовлетворительная работа с предложениями граждан и организаций: «Также отмечаем, что представленные разработчиком причины отклонения предложений участников публичного обсуждения текста проекта акта не могут быть признаны достаточными, а в ряде случаев не соответствуют действительности»

👎 Проект акта почему-то был принят для подготовки Заключения, несмотря на процедурные нарушения порядка ОРВ. Наличие Заключения позволяет «протащить» норматив дальше через Заседание Правительства с участием премьер-министра или вице-премьера. Ещё одна неприятность заключается в том, что органы исполнительной власти почему-то считают доработку проекта после Заключение «согласованием» и не размещают текст проекта заново, а просто тихо получают второе, уже положительное Заключение. За этим надо следить

28 мая 2018 года Роскомнадзор потребовал от Apple удалить Telegram:
«Во избежание возможных действий Роскомнадзора по нарушению функционирования указанных выше сервисов Apple, Inc. просим Вас в кратчайшие сроки проинформировать нас о дальнейших действиях Компании, направленных на решение данных проблемных вопросов»
http://rkn.gov.ru/news/rsoc/news58106.htm
Александр Жаров (руководитель Роскомнадзора) в тот же день прокомментировал Интерфаксу:
«Мы отправили им (Apple) юридически значимое письмо и ждем от них юридически значимого ответа. Поскольку компания Apple, как и другие транснациональные компании, компания с высокой степенью бюрократии, ответ ожидаем в течение месяца»
http://www.interfax.ru/russia/614630

Уже год прошёл крайнему сроку ультиматума. Мужик сказал — мужик сделал.

⚡️ «Роскомнадзор направил в адрес компании Google письмо с требованием принять меры по недопущению рекламирования несанкционированных (незаконных) массовых мероприятий на принадлежащем компании видеохостинге YouTube.... В случае непринятия Google мер реагирования Российская Федерация будет расценивать это как вмешательство в суверенные дела государства, а также враждебное воздействие и воспрепятствование проведению демократических выборов в России, оставляя за собой право на адекватную реакцию, подчеркивается в письме»
http://rkn.gov.ru/news/rsoc/news68982.htm

☝️ Я хочу увидеть:
1) норму, которая даёт Роскомнадзору полномочия по оценке вмешательства в суверенные дела;
2) норму, которая устанавливает соответствующие реакции.

😂 Ну и вы понели...

☝️ В этой новости я пытаюсь уйти от личного отношения и эмоций относительно ядерной энергетики, относительно оружия и вот это вот всё. Ядерная энергетика она вот есть, войны и насилие оно вот есть в том числе в рамках общей морали, никакая техника не желает ходить строем, поломки случаются. Я только о недостоверных новостях

⚡️ Я считал тему со взрывом на полигоне под Северодвинском и «фейковых новостях» исчерпанной, но нет. Всё-таки это был взрыв ядерного реактора:
https://www.fontanka.ru/2019/08/12/001/
Вот видео на youtube с саровскими учёными: https://youtu.be/LsDOuH91LEU

☝️ Собственно, я эту ситуацию взял как ЯРЧАЙШИЙ показатель, что проблемы недостоверных новостей практически не существует. Основной источник фейков (и я думаю, это не только у нас) — официальная информация. Основной источник достоверной информации — слухи, сплетни, сарафанное радио. Благо, в отличии от прошлого века сейчас в интернете всё достаточно просто проверяется и анализируется. Конечно, пока он, интернет, у нас ещё есть

#телеграмживи ⚡️ И внезапно рубрика про Telegram. MTProxy научились «мимикрировать» под обычное TLS-соединение. Так называемые «ee-секреты»
https://habr.com/ru/post/461171/

MTProxy на Python и Erlang уже умеют, на Golang и официальный — ещё нет. Все клиенты последней версии (вышла в пятницу-субботу) умеют. Помните, что у прокси-серверов можно выставить строгий режим «только такой proxy»

#fake Желаю осквернять тему так называемых недостоверных новостей, борьбы с ними и вообще развивать тему открытости информации. Коллега тут заметил, что Яндекс.Новости не знают про взрыв под Северодвинском ранее 9 августа: https://t.me/gip_24/3318 . Я надеюсь, у Яндекса есть какое-то хорошее объяснение.

P.S. Я допускаю, что на самом деле просто реактивным хвостом случайно сдуло навигационный буй с изотопным источником. Но пока всё выглядит крайне неприглядно.

#regulation #орв ⚡️ Проект Приказа Минцифры «об утверждении требований к оборудованию стыка операторов» получил ОТРИЦАТЕЛЬНОЕ Заключение по итогам процедуры оценки регулирующего воздействия:
https://regulation.gov.ru/p/91708

☝️ Проект норматива получил Заключение, состоящее из перечислений нестыковок внутри норматива, несогласованности с законодательством. Процедурные нарушения практически не затронуты. Заключение в нескольких предложениях сформулированно так, как-будто бы не сомневается, что норматив будет переписан.

👎 Проект акта почему-то был принят для подготовки Заключения, несмотря на процедурные нарушения порядка ОРВ. Наличие Заключения позволяет «протащить» норматив дальше через Заседание Правительства с участием премьер-министра или вице-премьера. Ещё одна неприятность заключается в том, что органы исполнительной власти почему-то считают доработку проекта после Заключение «согласованием» и не размещают текст проекта заново, а просто тихо получают второе, уже положительное Заключение. За этим надо следить

#regulation #орв ⚡️ Проект Приказа Минцифры «об утверждении требований к к СОРМ технологических сетей» получил ОТРИЦАТЕЛЬНОЕ Заключение по итогам процедуры оценки регулирующего воздействия:
https://regulation.gov.ru/p/91746

☝️ Проект норматива получил Заключение, состоящее из перечислений нестыковок внутри норматива, несогласованности с законодательством. Процедурные нарушения практически не затронуты. Заключение в нескольких предложениях сформулированно так, как-будто бы не сомневается, что норматив будет переписан.

👎 Проект акта почему-то был принят для подготовки Заключения, несмотря на процедурные нарушения порядка ОРВ. Наличие Заключения позволяет «протащить» норматив дальше через Заседание Правительства с участием премьер-министра или вице-премьера. Ещё одна неприятность заключается в том, что органы исполнительной власти почему-то считают доработку проекта после Заключение «согласованием» и не размещают текст проекта заново, а просто тихо получают второе, уже положительное Заключение. За этим надо следить

#regulation #орв ⚡️ Проект Приказа Минцифры «об утверждении требований к системе управления сетями» получил ОТРИЦАТЕЛЬНОЕ Заключение по итогам процедуры оценки регулирующего воздействия:
https://regulation.gov.ru/p/91663

☝️ Проект норматива получил Заключение, состоящее из перечислений нестыковок внутри норматива, несогласованности с законодательством. Процедурные нарушения практически не затронуты. Заключение в нескольких предложениях сформулированно так, как-будто бы не сомневается, что норматив будет переписан.

👎 Проект акта почему-то был принят для подготовки Заключения, несмотря на процедурные нарушения порядка ОРВ. Наличие Заключения позволяет «протащить» норматив дальше через Заседание Правительства с участием премьер-министра или вице-премьера. Ещё одна неприятность заключается в том, что органы исполнительной власти почему-то считают доработку проекта после Заключение «согласованием» и не размещают текст проекта заново, а просто тихо получают второе, уже положительное Заключение. За этим надо следить

ℹ️ На данный момент из 24 проектов актов, проходящих процедуру оценки регулирующего воздействия, 15 получили Заключение ОРВ. 13 Заключений — отрицательные. Т.е. больше половины проектов так или иначе спорны и непродуманны даже с точки зрения государства. Вот такой вот у нас «важный и своевременный устойчивый Рунет»

#вещества Пошла какая-то нездоровая борба с юморесками:
https://t.me/roskomsvoboda/3626

Надо у себя собрать их всех и пусть борятся

#творчество Сказ о том, как быть унылым никому не нужным заурядным ведомством и вдруг стать героем баллад, шуток и манг.

Баллада о позоре в пяти частях

1.
В забытой советской промзоне
У самой черты городской
Раскинулась пыльная свалка,
От свалки той веет тоской.
Там давят чужие томаты,
Чтоб вражья еда не прошла.
За свалкою той есть могила,
Травою уже заросла.

2.
Кто без молитвы, без креста
В сырой земле зарыт?
По ком никто и никогда
Не причитал навзрыд?
Аль жертва Синего кита –
Диавольской игры?

О нет, не трогайте кита –
Невинен бедный кит.
Совсем не так, совсем не так
Вершился суицид.
Была история проста,
Преданье говорит.

3.
…Под ивой плакучей ночною порою
Восторженный юноша деве шептал:
- О ангел мой нежный, давно я душою
Стремился к тебе, о тебе я мечтал.
И больше не стало преград между нами,
Сейчас же тебя поведу к своей маме.
Но только скажи мне, ведь я не чужой:
Ты ходишь давно каждый день на работу,
Чело омрачая какой-то заботой,
Я знаю, гордишься зарплатой большой.

Открой мне все тайны, не бойся меня,
И будем мы вместе до смертного дня.
Я славу пою любому труду,
Предки мои были все небогаты,
Но и контрабандисты были в роду,
И даже береговые пираты.

Потупилась дева, глаза опустив,
И молвила, глядя на платья узоры:
- О нежный мой друг, если можешь, прости –
Я сотрудник Роскомнадзора.*

4.
- О лучше бы ты танцевала
В стриптизе ночном у шеста,
О лучше бы ты побывала
В гареме арабов у ста.
О лучше б бодяжила водку
И впаривала гербалайф,
Простил бы за стан, за походку,
И вечно б моею была.
Несчастная! Ты мне не пара.
И проклят навеки тот миг
Любовного злого угара,
Который когда-то настиг.

Прощай! –
Все вороны проснулись,
Сгустилась мрачная мгла.
Шумел камыш, и деревья гнулись,
И темная ночка была.

5.
…В унылой и мрачной низине,
Не в силах снести позора,
Повесилась на осине
Сотрудница Роскомнадзора.

(с) Светлана Гаврилина, 2017